Bezpiecznie i bezprzewodowo

Tuż po zainstalowaniu wiele sieci bezprzewodowych nie ma żadnych mechanizmów obrony przed atakami z zewnątrz. Jeżeli nie chcesz gościć intruzów w swojej sieci, musisz przestrzegać kilku podstawowych reguł.

Tuż po zainstalowaniu wiele sieci bezprzewodowych nie ma żadnych mechanizmów obrony przed atakami z zewnątrz. Jeżeli nie chcesz gościć intruzów w swojej sieci, musisz przestrzegać kilku podstawowych reguł.

Nawet jeśli lubisz ryzyko i zwykle dopisuje ci szczęście, bezpieczeństwo w sieci bezprzewodowej z pewnością nie jest dziedziną, w której można oszczędzić pracy czy nakładów, a ryzyko opłaca się w jakikolwiek sposób.

Nie ma wyjścia - uszczelniamy sieć

Oprogramowanie szpiegujące - specjalne programy, znane jako sniffery, tak długo przechwytują ruch danych w sieci, aż zgromadzą wystarczającą ilość danych do złamania szyfru WEP.

Oprogramowanie szpiegujące - specjalne programy, znane jako sniffery, tak długo przechwytują ruch danych w sieci, aż zgromadzą wystarczającą ilość danych do złamania szyfru WEP.

Jeżeli właściciel sieci Wi-Fi zrezygnuje z jej zabezpieczenia przed nieuprawnionymi użytkownikami, może to mieć dla niego bardzo przykre konsekwencje - od utraty osobistych danych, przez straty finansowe, aż po odpowiedzialność karną.

Przedsiębiorstwa, które niedostatecznie chronią swoje sieci bezprzewodowe, ryzykują, że włamywacze wykradną lub zniszczą cenne dane. Firma ubezpieczeniowa może w takim wypadku odmówić wypłaty odszkodowania, uzasadniając to brakiem dostatecznej staranności. Wszelkie koszty utraty danych poniesie wówczas przedsiębiorstwo. Z podobnymi konsekwencjami musi się liczyć również ten, za czyim pośrednictwem włamywacze uzyskali dostęp do sieci osoby trzeciej. Poszkodowany może skutecznie dochodzić odszko-dowania od właściciela niedostatecznie zabezpieczonej sieci, jeżeli nie uda się wykryć rzeczywistych sprawców (zasada przeniesienia odpowiedzialności). A chętnych do włamywania się do sieci bezprzewodowych nie brakuje, bo przecież wystarczy wsiąść z notebookiem do samochodu i wybrać się na łowy po mieście.

Ustawienia domyślne - zmień natychmiast

Wariant minimalistyczny – szyfrowanie WEP zapewnia jedynie
minimalny poziom ochrony przed intruzami.

Wariant minimalistyczny – szyfrowanie WEP zapewnia jedynie

minimalny poziom ochrony przed intruzami.

Jeżeli już zainstalowałeś sieć w jej podstawowej postaci i sprawdziłeś, czy funkcjonuje poprawnie, powinieneś natychmiast zabezpieczyć ją przed intruzami.

Choć wszystkie routery i punkty dostępowe Wi-Fi są wyposażone w różne zabezpieczenia, z niezrozumiałych względów większość producentów dostarcza je w stanie, który urąga wszelkim regułom bezpieczeństwa. Często argumentują, że ułatwia to instalację, nie da się jednak zaprzeczyć, że jest po prostu niebezpieczne.

Jeżeli zatem nie chcesz, żeby ktokolwiek w okolicy, wyposażony w notebook z kartą Wi-Fi, mógł uzyskać dostęp do twojej sieci i buszować do woli w twoich zasobach, weź sobie do serca poniższe wskazówki.

To potrafią wszystkie urządzenia - szyfrowanie WEP

Otwarta sieć Wi-Fi - najwidoczniej ktoś zapomniał zmienić SSID.

Otwarta sieć Wi-Fi - najwidoczniej ktoś zapomniał zmienić SSID.

WEP to skrót od Wired Equivalent Privacy, co w swobodnym tłumaczeniu oznacza "prywatność, jak w sieciach kablowych". Szyfrowanie WEP ma zatem zapewniać taki poziom ochrony przed intruzami, jaki oferuje kabel ethernetowy w sieciach kablowych. Cała transmisja między stacją bazową a zalogowanymi klientami jest szyfrowana z użyciem hasła, które użytkownik musi wprowadzić zarówno w nadajniku, jak i w odbiorniku. Dopiero wówczas dane mogą być poprawnie odszyfrowane. Ma to uniemożliwić nieuprawnionym osobom ich przechwytywanie przez zwykłe podsłuchiwanie ruchu w sieci. Ponieważ szyfrowanie WEP jest częścią standardu IEEE 802.11, muszą je obsługiwać wszelkie dostępne na rynku urządzenia zgodne z tym standardem.

Dwa warianty

Definicja standardu IEEE 802.11 przewiduje dwa warianty WEP: WEP64 z kluczem 64-bitowym oraz mocniejszą wersję, WEP128, z kluczem 128-bitowym. Obliczono, że złamanie szyfru WEP128 metodą siłową (brute force) w tempie 3500 kluczy na sekundę trwałoby do 18 x 1019 lat. Brzmi to niesłychanie uspokajająco i bardzo wiarygodnie. Niestety, jest tylko teorią.

Łatwe do przechytrzenia

Dużo lepsze szyfrowanie WPA nie daje hakerom szans na złamanie kodu. Niestety, WPA obsługują tylko najnowsze urządzenia.

Dużo lepsze szyfrowanie WPA nie daje hakerom szans na złamanie kodu. Niestety, WPA obsługują tylko najnowsze urządzenia.

W rzeczywistości szyfrowanie WEP okazało się bardzo łatwe do przechytrzenia. Technicy z laboratoriów firmy AT&T dowiedli już w sierpniu 2001 roku, że klucz WEP można stosunkowo łatwo złamać metodą analizy przesyłanych pakietów danych. W Internecie można znaleźć narzędzia, które umożliwiają złamanie szyfru WEP w ciągu mniej więcej 20 minut.

Z tego powodu niektórzy producenci zaczęli stosować dodatkowe, własne warianty WEP, z reguły oparte na kluczu 256-bitowym, z którym odpowiednio trudniej sobie poradzić. Są to systemy specyficzne dla danego producenta, co oznacza, że takie urządzenia i karty nie współpracują z urządzeniami innych producentów, ale w ściśle określonych wypadkach może to być element strategii ochrony przed intruzami.

Jeżeli WEP, to z kluczem 128-bitowym

Jeżeli możesz zastosować tylko szyfrowanie WEP, wybierz wariant z kluczem 128-bitowym. W ten sposób stosujesz rozwiązanie będące kompromisem między bezpieczeństwem a kompatybilnością. Jeżeli zależy ci na bardziej wydajnej ochronie, sięgnij po skuteczniejsze metody, np. WPA.

Jeżeli twoje urządzenia pracują w standardzie 802.11b, i tak nie masz innego wyjścia, gdyż obsługują tylko WEP. Starsze podzespoły, np. karty PC do notebooków, mogą w niektórych wypadkach obsługiwać zaledwie WEP64. Tego typu przestarzałe karty powinieneś dla własnego bezpieczeństwa wymienić na nowsze modele, z wersją WEP128. W większości stosunkowo nowych urządzeń jest możliwość wyboru między WEP64 a WEP128.

W stronę większego bezpieczeństwa - szyfrowanie WPA

Koniecznie nadaj swojej sieci nazwę inną niż wybrana przez producenta.

Koniecznie nadaj swojej sieci nazwę inną niż wybrana przez producenta.

Wobec słabości szyfrowania WEP odpowiedzialny za standard IEEE Institute of Electrical & Electronics Engineers (www.ieee.org) postanowił opracować nowy standard, o znacznie lepszych mechanizmach zabezpieczeń. Nowa norma otrzymała nazwę 802.11i. Z tego względu stowarzyszenie producentów urządzeń bezprzewodowych opracowało WPA, Wi-Fi Protected Access. Ten przejściowy standard charakteryzuje się wieloma ulepszeniami, przede wszystkim w kwestii stosowania kluczy. Wychodząc od określonego klucza początkowego, oprogramowanie zmienia sposób szyfrowania każdego wysyłanego pakietu danych (Temporal Key Integrity Protocol - TKIP).

To bardzo utrudnia złamanie szyfru metodą prostego przechwytywania danych.

Uaktualnij firmware

Jedynie najnowsze urządzenia WLAN już w chwili dostawy obsługują WPA. Jeżeli twój sprzęt ma już kilkanaście miesięcy, uaktualnij wbudowane oprogramowanie i zmodernizuj aplikacje konfiguracyjne. Użytkownikom Windows XP radzimy również zainstalowanie poprawki Rollup Package do połączeń bezprzewodowych, która eliminuje niektóre problemy i błędy pierwszej implementacji WPA ( http:// support.microsoft.com/?kbid= 826942 ).

Punkty dostępowe z obsługą WPA oferują ponadto tzw. mixed mode, który umożliwia pracę w sieci zarówno klientom WPA, jak i WEP. Jednak w tym wypadku poziom bezpieczeństwa całej sieci spada do poziomu WEP. Taki tryb pracy należy traktować jako przejściowy i jak najszybciej doprowadzić wszystkie urządzenia do poziomu WPA.

Jeśli w sieci WLAN są przesyłane ważne dane, które nie powinny wydostać się na zewnątrz, oprócz włączenia szyfrowania rozważ niezależne od tego tunelowanie VPN, wykorzystujące sprawdzony, bezpieczny protokół IPsec.

Własna nazwa sieci - zmień SSID

Ustaw siłę sygnału tak, żeby obejmował mieszkanie i ogród, ale nie sięgał już ulicy.

Ustaw siłę sygnału tak, żeby obejmował mieszkanie i ogród, ale nie sięgał już ulicy.

Wszystko ma swoją nazwę, a więc i sieć WLAN. Aby nawiązać z nią kontakt, musisz znać SSID (Service Set Identifier). Kto nie zna SSID, nie włączy się do sieci. Niestety, nie-mal wszystkie punkty dostępowe WLAN domyślnie akceptują jako nazwę sieci "any" (dowolna) albo przeciwnie - wysyłają tę nazwę swobodnie w świat. To tak, jakby stacja bazowa wysyłała do każdego notebooka, który przypadkiem znajdzie się w pobliżu, następujący komunikat: "Hej, tu jest sieć WLAN. Zajrzyj do nas. Nazywam się DEFAULT." Każdy producent ma nieco odmienny sposób postępowania. Niektórzy stosują "any", inni wysyłają nazwę sieci do otoczenia, niektórzy robią jedno i drugie. Bywają też inne kombinacje.

Wyłącz rozgłaszanie

Powinieneś zatem wykonać jak najszybciej dwie czynności. Aby przynajmniej utrudnić potencjalnym intruzom wtargnięcie do sieci, wyłącz raz na zawsze funkcję rozgłaszania nazwy sieci. W większości punktów dostępowych jest to bardzo proste; wystarczy zaznaczyć odpowiednią opcję w konfiguracji. Najczęściej nazywa się ona "Sieć zamknięta" lub podobnie.

Korzyść jest taka, że odtąd uzyskanie dostępu do sieci wymaga znajomości jej dokładnej nazwy. To znacznie utrudni życie wardriverom, czyli hakerom wyposażonym w notebooki i przemierzającym okolicę w poszukiwaniu otwartych sieci WLAN.


Zobacz również